Investigation:Investigationの仕組み

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

Investigationモジュールは、Security Analyticsのデータ解析機能を提供します。この機能によりアナリストは、データを解析し、セキュリティとITインフラストラクチャへの、内部または外部からの脅威と考えられるものを特定することができます。

調査のためのデータとメタデータ

Security Analyticsは、ネットワーク上のすべてのトラフィックを調査および監視します。RSAネットワークでは、Decoderが、ネットワーク内を移動しているパケットとログの取得、解析、格納を行います。Decoderがパケットとログを取得すると、ParserとFeedによって生成されたメタデータがConcentratorに格納されます。大半の構成では、Investigation、ESA(Event Stream Analysis)、MA(Malware Analysis)、RE(Reporting Engine)からのすべてのクエリーは、Concentratorで処理されます。アナリストは最初にメタデータを確認し、Concentratorが大半のクエリーを処理します。セッションまたはRAWログの完全な再構築が必要な場合にのみ、Decoderにアクセスします。ESA、Malware Analysis、Reporting EngineもConcentratorをクエリーし、各Decoderにアクセスしなくても、イベントに関連づけられたすべてのメタデータをすばやく取得して、情報を生成できます。

注:ハイブリッドなアプライアンスはConcentrator機能を実行できますが、大きな帯域幅やEPS(1秒あたりのイベント数)を必要とする大規模な環境では、別のConcentratorアプライアンスが必要です。Concentratorアプライアンスは、インデックス用にソリッド ステート ドライブを使用するストレージ レイアウトを備えており、これにより、読み取りパフォーマンスを向上できます。

解析手法

アナリストは、収集したデータを調査し、他のSecurity Analyticsモジュールのクエリー結果を開いたり、他の収集ソースのデータをインポートすることができます。調査の際に、アナリストは[Investigation]の3つのビューをシームレスに切り替えることができます。それらは、[ナビゲート]ビュー、[イベント]ビュー、[Malware Analysis]ビューです。

注:ユーザーがSecurity Analyticsを使用して調査やマルウェアの解析を実施するには、特定のユーザー ロールおよび権限が必要です。解析タスクを実行できないか、ビューを表示できない場合、ロールや権限が不足している可能性があります。

アナリストは、Investigationを使用して、インシデント対応ワークフローの中で詳細を調査したり、別のツールによって生成されたイベントを戦略的に解析したりすることができます。いずれの場合も、アナリストはメタデータのドリルダウンまたはピボットを行うことで、ログおよびパケットを絞り込んで疑わしいイベントを確認し、インシデントに結び付くメタデータの特定の組み合わせを重点的に調べます。

[ナビゲート]ビュー

[ナビゲート]ビューには、Security Analyticsサービス上のデータを詳しく調べてクエリーするための機能が用意されています。一般的に、アナリストの調査の対象となるようなイベントには、他とは異なる特徴を見いだすことができます。Investigationでは、収集したパケットやログの内容がコレクションとして[ナビゲート]ビューに表示されます。定義されたメタ キーがクエリーされると、値がセッション数とともに返されます。任意のレベルで値をクリックすると、詳細な結果が表示されます。

たとえば、外国との不審なトラフィックを危惧する場合、Destination Countryメタ キーを確認することにより、実際のすべての宛先と通信の頻度を明らかにすることができます。これらの値を詳しく調べていくと、送信元と送信先のIPアドレスなど、トラフィックの特性が分かります。他のメタ データを調べると、この2つのIPアドレス間で交換されているファイルの特性を明らかにできる場合があります。また、特定のトラフィック イベントを再構築(再現)して、実際に送受信された内容を明らかにすることができます。

[イベント]ビュー

[イベント]ビューには、イベントの表示と再構築を安全に行えるよう、イベントがリスト形式で表示されます。現在のドリルダウン ポイントのメタ値の[イベント]ビューは、[ナビゲート]ビューから開くことができます。サービスをナビゲートするための十分な権限がない場合、[イベント]ビューはスタンドアロンの[Investigation]ビューになり、アナリストは、最初にメタをドリルダウンすることなく、Security Analyticsコア サービスからネットワークおよびログ イベントのリストにアクセスできます。

[イベント]ビューでは、イベント情報が3つの標準形式(イベントの簡単なグリッド リスト、イベントの詳細なリスト、ログ ビュー)で表示されます。標準形式のほかに、選択したメタ キーのカスタム列グループを作成し、そのカスタム列グループをカスタム プロファイルに割り当てて、イベント リストを表示することができます。作成したカスタム列グループとプロファイルは、ドロップダウン リストから選択できます。

[イベント]ビューでは、次のタスクを実行できます。

  • イベント リストからイベントを再構築する。
  • [プロファイル]を使用して、Investigationのさまざまな設定を選択可能なセットにまとめる、メタ グループをインポートおよびエクスポートする、Investigatorの列グループをインポートおよびエクスポートする。
  • イベントと関連ファイルをエクスポートする。

[Malware Analysis]ビュー

[Malware Analysis]ビューは、特定の種類のファイル オブジェクト(Windows PE、PDF、MS Officeなど)を解析し、悪意のあるファイルである可能性を評価できます。マルウェア解析を行う際に、複数レベルのスコア モジュールを使用すると、収集された大量のファイルに優先順位を付けて、悪意のあるファイルである可能性が最も高いファイルの解析作業を重点的に実行できます。

You are here
Table of Contents > Investigationの仕組み

Attachments

    Outcomes